Efter att att en mängd filmstjärnor och andra celebriteter drabbats av dataintrång och fått se sina privata bilder spridas på nätet riktas uppmärksamheten mot tillvägagångssättet. Huvudmisstanken är att angriparna utnyttjat något slags säkerhetshål i en populär molntjänst och på så vis kommit åt alltifrån nakenbilder till e-post och annan data.

password.jpg

Nu tillkommer fler uppgifter som pekar i samma riktning. För ett litet tag sedan upptäcktes att Apples borttappningsskydd Find My Phone inte spärrar användarkontot efter flera misslyckade inloggningsförsök. Det gör det möjligt att för den som redan känner till e-postadressen ta reda på lösenordet med en så kallad brute force-attack, vilket utnyttjades i hackerverktyget Ibrute.

Utan spärr mot misslyckade inloggningsförsök går det att på olika sätt gissa lösenord genom att låta ett program systematiskt prova på olika teckenkombinationer. Beroende på lösenordets längd och styrka kan denna typ av attack vare extremt tidsödande, men eftersom många har ovanan att använda svaga lösenord finns flera genvägar, exempelvis att utgå ifrån en ordlista.

Den som lyckas lista ut lösenordet kan inte bara logga in på Find My Iphone utan även använda samma uppgifter till molntjänsten Icloud. Det ger fri tillgång till säkerhetskopior och annan synkroniserad data, däribland foton från mobilkameran. Apple ska dock ha rättat till problemet och numera infört en spärr vid flera misslyckade inloggningsförsök.